Warnungsrichtlinien im Office 365 Security & Compliance Center

Wichtig :  Dieser Artikel wurde maschinell übersetzt. Bitte beachten Sie den Haftungsausschluss. Die englische Version des Artikels ist als Referenz hier verfügbar: hier.

Die neue Benachrichtigung Richtlinie und benachrichtigen Dashboard-Tools können in der Office 365 Security & Compliance Center Benachrichtigungssounds Richtlinien zu erstellen, und klicken Sie dann die Benachrichtigungen, die generiert werden, wenn Benutzer Aktivitäten ausführen, die die Suchkriterien einer Benachrichtigung Richtlinie, anzeigen. Benachrichtigen Richtlinien aufeinander und erweitern Sie die Funktionalität der Aktivität Benachrichtigungen mit deren Hilfe Sie Catagorize die Richtlinie benachrichtigen, wenden Sie die Richtlinie für alle Benutzer in Ihrer Organisation, einen Schwellenwert für den Fall eine Warnung wird ausgelöst, und entscheiden, ob Sie die e-Mail erhalten Ebene festlegen Benachrichtigungen. Es gibt auch eine Ansicht Benachrichtigungen auf der Seite in der Security & Compliance Center, wo Sie anzeigen und Filtern können, hingewiesen, einen Benachrichtigung Status können Sie Benachrichtigungen verwalten, und schließen Benachrichtigungen dann nach dem zugrunde liegenden gelöst oder berücksichtigt haben Vorfall festlegen. Wir haben auch die Art der Ereignisse erweitert, denen Sie Benachrichtigungen für erstellen können. Beispielsweise können Sie die Benachrichtigung Richtlinien zum Nachverfolgen von Schadsoftware Aktivität und Fälle von Datenverlust erstellen. Schließlich haben wir auch eine Reihe von Standard enthalten Benachrichtigung Richtlinien, die Ihnen helfen, überwachen Zuweisen von Administratorberechtigungen in Exchange Online, Schadsoftware Angriffen und ungewöhnliche Ebenen der Datei löschen und die externe Freigabe.

Derzeit ist für Warnungsrichtlinien ein Office 365 E5-Abonnement für Ihre Organisation erforderlich. Wenn Sie diesen Plan nicht haben, aber Warnungsrichtlinien testen möchten, können Sie sich für eine Testversion von Office 365 Enterprise E5 registrieren.

Inhalt

Funktionsweise von Warnungsrichtlinien

Warnungsrichtlinieneinstellungen

Standardwarnungsrichtlinien

Anzeigen von Warnungen

Verwalten von Warnungen

Funktionsweise von Warnungsrichtlinien

Es folgt eine kurze Übersicht über die Funktionsweise von Warnungsrichtlinien sowie die Warnungen, die ausgelöst werden, wenn eine Benutzer- oder Administratoraktivität den Bedingungen einer Warnungsrichtlinie entspricht.

Übersicht, wie Warnungsrichtlinien funktionieren
  1. Ein Administrator Ihrer Organisation erstellt, konfiguriert und aktiviert eine Warnungsrichtlinie über die Seite Warnungsrichtlinien im Security & Compliance Center. Warnungsrichtlinien können auch mit dem New-ProtectionAlert-Cmdlet in PowerShell erstellt werden.

  2. Ein Benutzer führt eine Aktivität aus, die den Bedingungen einer Warnungsrichtlinie entspricht. Im Fall von Malwareangriffen verursachen infizierte E-Mail-Nachrichten, die an Benutzer in Ihrer Organisation gesendet wurden, dass eine Warnung ausgelöst wird.

  3. Office 365 generiert eine Warnung, die auf der Seite Warnungen anzeigen im Security & Compliance Center angezeigt wird. Außerdem sendet Office 365, wenn E-Mail-Benachrichtigungen für die Warnungsrichtlinie aktiviert sind, eine Benachrichtigung an die Empfänger.

  4. Ein Administrator verwaltet Warnungen im Security & Compliance Center. Verwalten von Warnungen besteht darin, einen Warnungsstatus zuzuweisen, damit die entsprechenden Untersuchungen nachverfolgt und verwaltet werden können.

Seitenanfang

Warnungsrichtlinieneinstellungen

Eine Warnungsrichtlinie besteht aus einer Reihe von Regeln und Bedingungen, in denen Folgendes definiert wird: die Benutzer- oder Administratoraktivität, für die eine Warnung generiert wird; eine Liste der Benutzer, für die die Warnung ausgelöst wird, wenn sie die Aktivität ausführen; und der Schwellenwert, der festlegt, wie oft die Aktivität erfolgen muss, bevor eine Warnung ausgelöst wird. Außerdem kategorisieren Sie die Richtlinie und weisen ihr einen Schweregrad zu. Diese beiden Einstellungen erleichtern Ihnen die Verwaltung von Warnungsrichtlinien (und der Warnungen, die ausgelöst werden, wenn die Richtlinienbedingungen erfüllt sind), weil Sie nach diesen Einstellungen filtern können, wenn Sie im Security & Compliance Center Richtlinien verwalten und Warnungen anzeigen. Beispielsweise können Sie Warnungen anzeigen, die den Bedingungen aus derselben Kategorie entsprechen oder denselben Schweregrad haben.

Um Warnungsrichtlinien anzuzeigen und zu erstellen, wechseln Sie zu Warnungen > Warnungsrichtlinien im Security & Compliance Center.

Klicken Sie im Security & Compliance Center auf "Warnungen", und klicken Sie dann auf "Warnungsrichtlinien", um Warnungsrichtlinien anzuzeigen und zu erstellen.

Eine Warnungsrichtlinie besteht aus den folgenden Einstellungen und Bedingungen.

  • Aktivität, die von der Warnung nachverfolgt wird   Sie erstellen eine Richtlinie zum Nachverfolgen einer Aktivität (oder in einigen Fällen einiger zusammengehöriger Aktivitäten), beispielsweise Freigeben einer Datei für einen externen Benutzer, Zuweisen von Zugriffsberechtigungen oder Erstellen eines anonymen Links. Wenn ein Benutzer die in der Richtlinie definierte Aktivität ausführt, wird entsprechend den Einstellungen der Warnungsschwellenwerte eine Warnung ausgelöst.

  • Aktivitätsbedingungen   Für die meisten Aktivitäten können Sie zusätzliche Bedingungen definieren, die erfüllt sein müssen, damit eine Warnung ausgelöst wird. Zu den üblichen Bedingungen gehören IP-Adressen (sodass eine Warnung ausgelöst wird, wenn der Benutzer die Aktivität auf einem Computer mit einer bestimmten IP-Adresse oder in einem IP-Adressbereich ausführt), ob eine Warnung ausgelöst wird, wenn ein bestimmter Benutzer diese Aktivität ausführt, und ob die Aktivität für einen bestimmten Dateinamen oder eine bestimmte Datei ausgeführt wird. Sie können auch eine Warnung konfigurieren, über die eine Benachrichtigung ausgelöst wird, wenn die Aktivität von irgendeinem Benutzer in Ihrer Organisation ausgeführt wird. Zu beachten ist, dass die verfügbaren Bedingungen von der ausgewählten Aktivität abhängig sind.

  • Warnungsschwellenwert   Sie können einen Schwellenwert konfigurieren, mit dem definiert wird, wie oft eine Aktivität auftreten darf, bevor eine Warnung ausgelöst wird. Dies ermöglicht Ihnen das Einrichten einer Richtlinie, für die jedes Mal, wenn eine Aktivität den Richtlinienbedingungen entspricht, oder nur dann eine Warnung generiert wird, wenn ein bestimmter Schwellenwert überschritten ist. Im Schwellenwert ist definiert, wie oft eine Aktivität innerhalb eines Zeitraums auftreten darf, bevor eine Warnung generiert wird.

    Sie können auch einen Warnungsschwellenwert zuweisen, der auf einer ungewöhnlichen Aktivität basiert. Wenn Sie diesen Typ von Schwellenwert auswählen, richtet Office 365 einen Basisplanwert ein, der die normale Häufigkeit für die ausgewählte Aktivität definiert. Das Einrichten dieses Basisplans dauert bis zu sieben Tage, und in diesem Zeitraum werden keine Warnungen generiert. Nachdem der Basisplan eingerichtet ist, wird eine Warnung ausgelöst, wenn die Häufigkeit der Aktivität, die von der Warnungsrichtlinie nachverfolgt wird, den Basisplanwert erheblich überschreitet. Für überwachungsbezogene Aktivitäten (z.B. Datei- und Ordneraktivitäten) können Sie einen Basisplan einrichten, der auf einem einzelnen Benutzer oder auf allen Benutzern in Ihrer Organisation basiert. Für malwarebezogene Aktivitäten können Sie einen Basisplan einrichten, der auf einer einzelnen Malwarefamilie, einem einzelnen Empfänger oder allen Nachrichten in Ihrer Organisation basiert.

  • Warnungskategorie   Um das Nachverfolgen und Verwalten der Warnungen zu vereinfachen, können Sie einer Richtlinie eine der folgenden Kategorien zuweisen.

    • Daten-Governance

    • Schutz vor Datenverlust

    • Berechtigungen

    • Bedrohungsverwaltung

    • Weitere

    Tritt eine Aktivität auf, die den Bedingungen der Warnungsrichtlinie entspricht, wird die generierte Warnung mit der Kategorie markiert, die in dieser Einstellung definiert ist. Dies ermöglicht es Ihnen, Warnungen, die dieselbe Kategorieeinstellung haben, auf der Seite Warnungen anzeigen im Security & Compliance Center nachzuverfolgen und zu verwalten, weil Sie Warnungen anhand der Kategorie filtern können.

  • Warnungsschweregrad   Vergleichbar zur Warnungskategorie weisen Sie einer Warnungsrichtlinie ein Schweregradattribut zu (Niedrig, Mittel oder Hoch). Tritt eine Aktivität auf, die den Bedingungen der Warnungsrichtlinie entspricht, wird die generierte Warnung, ähnlich wie mit der Warnungskategorie, mit dem Schweregrad markiert, der für die Warnungsrichtlinie festgelegt ist. Dies ermöglicht es Ihnen, ähnlich zu Kategorie, Warnungen nachzuverfolgen und zu verwalten, die auf der Seite Warnungen anzeigen dieselbe Schweregradeinstellung haben. Beispielsweise können Sie die Liste der Warnungen so filtern, dass nur Warnungen angezeigt werden, die den Schweregrad Hoch haben.

    Tipp : Beim Einrichten einer Warnungsrichtlinie sollten Sie Aktivitäten, die starke negative Folgen haben können, etwa Erkennung von Malware nach Übermittlung an Benutzer, Anzeigen von vertraulichen oder geheimen Daten, Freigeben von Daten für externe Benutzer oder andere Aktivitäten, die zu Datenverlust oder Sicherheitsbedrohungen führen können, einen höheren Schweregrad zuweisen. Dies ermöglicht Ihnen die Priorisierung von Warnungen sowie der Aktionen, die Sie unternehmen, um die zugrundeliegenden Ursachen zu untersuchen und zu beheben.

  • E-Mail-Benachrichtigungen    Sie können die Richtlinie so einrichten, dass E-Mail-Benachrichtigungen an bestimmte Benutzer gesendet (oder nicht gesendet) werden, wenn eine Warnung ausgelöst wurde. Sie können auch eine tägliche Benachrichtigunggrenze festlegen, sodass an dem Tag, sobald die maximale Anzahl von Benachrichtigung erreicht ist, keine weiteren Benachrichtigungen für die Warnung gesendet werden. Zusätzlich zu E-Mail-Benachrichtigungen können Sie oder andere Administratoren die Warnungen, die von einer Richtlinie ausgelöst wurden, auf der Seite Warnungen anzeigen anzeigen. Es bietet sich an, E-Mail-Benachrichtigungen für Warnungsrichtlinien einer bestimmten Kategorie oder für Richtlinien zu aktivieren, die einen höheren Schweregrad haben.

Seitenanfang

Standardwarnungsrichtlinien

Office 365 stellt die folgenden integrierten Warnungsrichtlinien bereit, mit denen sich Missbrauch von Exchange-Administratorberechtigungen, Malwareaktivitäten und Datengovernancerisiken erkennen lassen. Diese Richtlinien sind standardmäßig aktiviert. Sie können diese Richtlinien deaktivieren (oder wieder aktivieren), eine Liste mit Empfängern einrichten, an die E-Mail-Benachrichtigungen gesendet werden sollen, und eine tägliche Benachrichtigungsgrenze festlegen. Die anderen Einstellungen für diese Richtlinien können nicht bearbeitet werden.

Auf der Seite Warnungsrichtlinien werden die Namen dieser integrierten Richtlinien in Fettschrift angezeigt, und der Richtlinientyp ist auf System festgelegt.

  • Erstellung der Weiterleitung/Redirect Regel    Generiert eine Warnung aus, wenn eine Person in Ihrer Organisation für das Postfach eine Posteingangsregel erstellt, die weiterleitet oder leitet Nachrichten an ein anderes e-Mail-Konto. Diese Richtlinie enthält eine schwere-Einstellung "Niedrig". Weitere Informationen zum Verwenden von Regeln zum Weiterleiten und Umleiten von e-Mail in Outlook finden Sie unter automatisch e-Mails weiterleiten und umleiten.

  • Erhöhung der Exchange-Administrator-Berechtigungen    Generiert eine Warnung aus, wenn eine Person in Ihrer Organisation Exchange Online Administratorberechtigungen zugewiesen ist; Wenn beispielsweise ein Benutzer die Rollengruppe "Organisationsverwaltung" in Exchange Online hinzugefügt wird. Diese Richtlinie enthält eine schwere-Einstellung "Niedrig".

  • Schadsoftware Campaign nach Übermittlung erkannt    Generiert eine Warnung aus, wenn eine ungewöhnlich große Anzahl von Nachrichten, die Schadsoftware an Postfächer in Ihrer Organisation übermittelt werden. Wenn dieses Ereignis eintritt, entfernt Office 365 die infizierten Nachrichten aus Exchange Online Postfächer. Dieser Richtlinie verfügt über eine hohe schwere Einstellung.

  • Schadsoftware Campaign entdeckt und blockiert    Generiert eine Warnung aus, wenn jemand versucht hat, eine ungewöhnlich große Anzahl von e-Mail-Nachrichten, enthält einen bestimmten Typ von Schadsoftware für Benutzer in Ihrer Organisation zu senden. Wenn dieses Ereignis eintritt, sind die infizierten Nachrichten von Office 365 blockiert und nicht an Postfächer übermittelt. Diese Richtlinie enthält eine schwere-Einstellung "Niedrig".

  • Schadsoftware Campaign erkannt in SharePoint und OneDrive   generiert eine Warnung aus, wenn eine ungewöhnlich große Anzahl von Schadsoftware oder Viren in Dateien im SharePoint Websites oder OneDrive Konten in Ihrer Organisation erkannt werden. Dieser Richtlinie verfügt über eine hohe schwere Einstellung.

  • Die Dateiaktivität ungewöhnliche externer Benutzer    Generiert eine Warnung aus, wenn eine Regel Vielzahl von Aktivitäten mit Dateien in SharePoint oder OneDrive von Benutzern außerhalb Ihrer Organisation ausgeführt werden. Dies umfasst Aktivitäten wie den Zugriff auf Dateien, Dateien herunterladen und Löschen von Dateien aus. Dieser Richtlinie verfügt über eine hohe schwere Einstellung.

  • Ungewöhnliche Volumen des externen Datei freigeben    Generiert eine Warnung aus, wenn eine Regel große Anzahl von Dateien in SharePoint oder OneDrive für Benutzer außerhalb Ihrer Organisation freigegeben wurden. Diese Richtlinie enthält eine Medium schwere Einstellung.

  • Löschen von Dateien ungewöhnliche Lautstärke    Generiert eine Warnung aus, wenn eine ungewöhnlich große Anzahl von Dateien in SharePoint oder OneDrive innerhalb kürzester Zeit gelöscht werden. Diese Richtlinie enthält eine Medium schwere Einstellung.

  • Nachrichten, die als Phishing oder Junk-e-/ nicht junk gemeldet ungewöhnliche Lautstärke    Generiert eine Warnung aus, wenn eine signifikante Erhöhung der Anzahl von Personen in Ihrer Organisation mithilfe der Berichtnachricht-add-Ins in Outlook Bericht Nachrichten als Junk-e-Mail, keine Junk-e-Mail oder Phishing e-Mail vorhanden ist. Dieser Richtlinie verfügt über eine hohe schwere Einstellung. Weitere Informationen zu diesem Add-in finden Sie unter Verwenden des Berichtnachricht-add-ins.

Beachten Sie, dass die ungewöhnliche Aktivitäten, die überwacht werden, indem Sie einige Richtlinien integrierten auf demselben Prozess basiert, wie der Benachrichtigung Schwellenwert festlegen, die zuvor beschriebenen. Office 365 stellt ein Basisplanwert, der die normale Häufigkeit für "Deutsch" Aktivität definiert, her. Benachrichtigungen werden dann ausgelöst, wenn die Häufigkeit von Aktivitäten nachverfolgt werden die integrierten benachrichtigen Richtlinie erheblich geplanter Wert überschreitet.

Seitenanfang

Anzeigen von Warnungen

Wenn eine Aktivität, die von einem Benutzer in Ihrer Organisation ausgeführt wird, den Einstellungen einer Warnungsrichtlinie entspricht, wird eine Warnung generiert, und diese Warnung wird auf der Seite Warnungen anzeigen im Security & Compliance Center angezeigt. Abhängig von den Einstellungen einer Warnungsrichtlinie wird außerdem eine E-Mail-Benachrichtigung an die jeweils angegebenen Benutzer gesendet, wenn eine Warnung ausgelöst wird. Für jede Warnung werden im Dashboard auf der Seite Warnungen anzeigen der Name der entsprechenden Warnungsrichtlinie, der Schweregrad und die Kategorie für die Warnung (definiert in der Warnungsrichtlinie) und die Häufigkeit angezeigt, mit der die Aktivität aufgetreten ist, die zum Generieren der Warnung geführt hat; dieser Wert basiert auf der Einstellung des Schwellenwerts für die Warnungsrichtlinie. Im Dashboard wird außerdem der Status für jede Warnung angezeigt. Weitere Informationen zur Verwendung der Eigenschaft "Status", um Warnungen zu verwalten, finden Sie im Abschnitt Verwalten von Warnungen.

Wenn Sie Warnungen anzeigen möchten, wechseln Sie zu Warnungen > Warnungen anzeigen im Security & Compliance Center.

Klicken Sie im Security & Compliance Center auf "Warnungen", und klicken Sie dann auf "Warnungen anzeigen", um Warnungen anzuzeigen.

Sie können die folgenden Filter verwenden, um eine Teilmenge aller Warnungen auf der Seite Warnungen anzeigen anzuzeigen.

  • Status   Verwenden Sie diesen Filter, um Warnungen anzuzeigen, denen ein bestimmter Status zugewiesen ist. Der Standardstatus ist Aktiv. Sie oder andere Administratoren können den Statuswert ändern.

  • Richtlinien   Verwenden Sie diesen Filter, um Warnungen anzuzeigen, die den Einstellungen von mindestens einer Warnungsrichtlinie entsprechen. Sie können aber auch einfach alle Warnungen für alle Warnungsrichtlinien anzeigen.

  • Zeitbereich   Verwenden Sie diesen Filter, um Warnungen anzuzeigen, die in einem bestimmten Datums- und Zeitbereich generiert wurden.

  • Schweregrad   Verwenden Sie diesen Filter, um Warnungen anzuzeigen, denen ein bestimmter Schweregrad zugewiesen ist.

  • Kategorie   Verwenden Sie diesen Filter, um Warnungen aus mindestens einer Warnungskategorie anzuzeigen.

Seitenanfang

Verwalten von Warnungen

Nachdem Warnungen generiert und auf der Seite Warnungen anzeigen im Security & Compliance Center angezeigt wurden, können Sie diese selektieren, untersuchen und beheben. Es folgen einige Aufgaben, die Sie ausführen können, um Warnungen zu verwalten.

  • Zuweisen eines Status zu Warnungen   Sie können Warnungen einen der folgenden Status zuweisen: Aktiv (der Standardwert), Untersuchung läuft, Gelöst, oder Geschlossen. Danach können Sie nach dieser Einstellung filtern, um Warnungen mit demselben Status anzuzeigen. Über dieses Festlegen des Status lässt sich das Verwalten von Warnungen vereinfachen.

  • Anzeigen von Warnungsdetails   Sie können auf eine Warnung klicken, um eine Flyoutseite mit den Details über die Warnung anzuzeigen. Die ausführlichen Informationen hängen von der zugehörigen Warnungsrichtlinie ab, enthalten aber in der Regel Folgendes: den Namen des tatsächlichen Vorgangs, der die Warnung ausgelöst hat (z.B. ein Cmdlet), eine Beschreibung der Aktivität, von der die Warnung ausgelöst wurde, den Benutzer (oder die Liste der Benutzer), der die Warnung ausgelöst hat, und den Namen (sowie den Link zu) der zugehörigen Warnungsrichtlinie.

    • Der Name des tatsächlichen Vorgangs, von dem die Warnung ausgelöst wurde, etwa ein Cmdlet- oder Überwachungsprotokollvorgang.

    • Eine Beschreibung der Aktivität, von der die Warnung ausgelöst wurde.

    • Der Benutzer, der die Warnung ausgelöst hat; diese Information ist nur für Warnungsrichtlinien enthalten, die zum Nachverfolgen eines einzelnen Benutzers oder einer einzelnen Aktivität eingerichtet sind.

    • Die Häufigkeit, mit der die Aktivität ausgeführt wurde, die von der Warnung nachverfolgt wird. Diese Häufigkeit muss nicht mit der tatsächlichen Anzahl von zugehörigen Warnungen übereinstimmen, die auf der Seite "Warnungen anzeigen" aufgelistet werden, weil möglicherweise weitere Warnungen ausgelöst wurden.

    • Ein Link zu einer Aktivitätenliste, die einen Eintrag für jede Aktivität enthält, die ausgeführt wurde und die Warnung ausgelöst hat. Jeder Eintrag in dieser Liste gibt Folgendes an: den Zeitpunkt, zu dem die Aktivität aufgetreten ist, den Namen des tatsächlichen Vorgangs (z.B. "FileDeleted"), den Benutzer, der die Aktivität ausgeführt hat, das Objekt (z.B. eine Datei, ein eDiscovery-Fall oder ein Postfach), für das die Aktivität ausgeführt wurde, und die IP-Adresse des Computers des Benutzers. Für malwarebezogene Warnungen führt dieser Link zu einer Nachrichtenliste.

    • Der Name (und Link zu) der entsprechenden Warnungsrichtlinie.

  • E-Mail-Benachrichtigungen unterdrücken   Sie können E-Mail-Benachrichtigungen unterdrücken, sodass sie nicht auf der Flyoutseite für eine Warnung angezeigt werden. Wenn Sie E-Mail-Benachrichtigungen unterdrücken, sendet Office 365 keine Benachrichtigungen für Aktivitäten oder Ereignisse, die den Bedingungen der Warnungsrichtlinie entsprechen. Trotzdem werden weiterhin Warnungen ausgelöst, wenn Aktivitäten, die von Benutzern ausgeführt werden, den Bedingungen der Warnungsrichtlinie entsprechen. Sie können E-Mail-Benachrichtigungen auch durch Bearbeiten der Warnungsrichtlinie deaktivieren.

  • Warnungen auflösen   Sie können eine Warnung auf der Flyoutseite als gelöst festlegen (dadurch wird der Status der Warnung auf Gelöst festlegt). Sofern Sie den Filter nicht ändern, werden aufgelöste Warnungen auf der Seite Warnungen anzeigen nicht angezeigt.

Seitenanfang

Hinweis : Haftungsausschluss für maschinelle Übersetzungen: Dieser Artikel wurde mithilfe eines Computersystems und ohne jegliche Bearbeitung durch Personen übersetzt. Microsoft bietet solche maschinellen Übersetzungen als Hilfestellung für Benutzer ohne Englischkenntnisse an, damit Sie von den Informationen zu Produkten, Diensten und Technologien von Microsoft profitieren können. Da es sich bei diesem Artikel um eine maschinelle Übersetzung handelt, enthält er möglicherweise Fehler in Bezug auf (Fach-)Terminologie, Syntax und/oder Grammatik.

Ihre Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×